摘 要 基于工业互联网安全防护体系设计,实现面向工业互联网应用行业及企业的从前端数据加密、信息可靠传输,到后端的数据落盘加密、数据分析处理,再到设备异常和故障监控、安全事件及行为分析,并可实现多维度报警分析功能的加密管控服务系统。
关键词 安全防护;网络通信;数据安全
引言
工业互联网包括网络、平台、安全三大体系[1]。而传统互联网的网络层级较少,基于TCP/IP的通信协议安全机制也较为完善。而工业互联网是基于泛在连接的复杂网络,运行着超过1000种缺乏安全机制的工业控制、现场总线、工业通信等协议[2],且不同企业接口不一、较为封闭等特点加大了安全协议分析的难度。而安全而高效的传感器及相关应用将是实现工业互联网的核心基础。
目前存在的主要问题:
(1)工业互联网缺乏安全机制的协议种类繁多,互通难度大;
(2)工业互联网数据种类多样,缺乏防护重点;
(3)工业互联网安全需构建全新的身份信任体系。
本系统基于工业互联网安全防护体系设计,围绕工业互联网体系安全的五大重点方向:设备安全、控制安全、網络安全、应用安全和数据安全[3],突破轻量级加密算法研究、基于国密算法的多类加密模块研制、加密存储硬件研制、分布式文件系统开发、全局统一管控平台开发等关键技术,实现面向工业互联网应用行业及企业的从前端采集数据加密、信息可靠传输认证,到后端申威平台实现数据分析处理,再到设备异常和故障监控、安全事件及行为分析,并面向用户实现多维度报警分析功能的加密管控服务系统。
针对加密管控服务系统本身特色,数据处理上采用“国产化设备+国产化软件生态”为主,加密手段上通过“定制前端数据加密模块+网络设备+身份认证系统”的解决方案来满足对数据安全传输和认证的需求,用户终端采用“自主可控软件平台+KEY”尽量满足对存储系统安全、可扩展、高效低能耗、高安全性的需求。
前端数据采集加密,采取定制化的密码加密模块应用在工控设备终端,通过专用数据接口与工控终端相连,用于终端设备的身份认证、数据传输加密、完整性保护等。考虑到终端的低功耗、资源受限等特点,定制密码加密模块从算法到硬件实现,按照轻量级的要求设计。
传输过程中采取支持基于国密算法的IPSec安全通信,速率不低于20Gbps,单控制卡存储容量达到TB级,通过万兆高速以太网和安全加密通道构建分布式计算存储系统。数据从前端加密系统汇聚到数据汇聚认证系统之后,在安全网关设备层实现加解密闭环,实现身份认证和数据机密性保护。数据汇聚认证系统主要通过数据接入网关、身份认证系统、服务器密码机等密码设备,实现网络隔离、接入认证、数据保护等安全功能。
存储节点全自主可控设计,采用自研国产申威1621处理器平台。
集中管控系统采用B/S架构,其中服务器端运行在国产化硬件环境之上,客户端通过浏览器等进行平台使用,实现远程调试、实时监控、报警管理、运维管理、异常处理、能耗管理、设备管理等各类应用,以提高工业互联网平台的安全性、可靠性和可用性。
基于以上设计原则,实现前端数据加密、数据汇聚认证,实现数据处理,集中管控服务。
前端数据加密系统,部署在各工业互联网终端,实现对工业互联网数据的机密性和完整性保护。加密系统通过如轻量级的认证协议以及数据传输协议,防止非法接入、非授权使用、泄露、篡改、假冒或重放、中间人攻击等,保护终端系统的机密性、完整性、可用性。
数据汇聚认证系统在实现最基本的数据传输和汇聚的功能之外,主要实现用户身份认证、重认证处理、认证信息传递、访问控制、访问行为审计。
数据处理系统主要完成对数据的采集、存储、检索、加工、变换和传输。数据处理的基本目的是从大量的、杂乱无章的、难以理解的数据中抽取并推导出对于特定的群体来说有价值、有意义的数据。
集中管控系统,可根据预先定义的数据模型,按照不同层次的不同检测规则给出实时显示和历史数据查询,能够实时监测与管理设备运行的能耗,并进行能耗分析和优化建议。可实现对设备的运行维护进行管理,记录每次设备维修和维护的情况和问题,提供实时数据与特征数据之间的相似度,给出故障或异常的相似度建议,根据预设的固定阈值、动态阈值、实时数据与模型预测的差值等策略进行异常报警,支持多种报警方式。
结束语
通过系统的实现,解决部分前端数据传送的加密保护,能安全地实现多种通信技术标准的互联互通,完整、高效、低成本把多种协议并存的异构设备连接起来、把数据汇集起来,实现在边缘或云端计算,有效地保障工业互联网异构互联。从而有利于开展工业互联网安全防护工作,提升安全防护能力,推动其健康发展[4]。
参考文献
[1]刘廉如,张尼,张忠平.工业互联网安全框架研究[ED/OL].https://wenku.baidu.com/view/3468ee5eaa956bec0975f46527d3240c8447a1ff.html,2020-1-25.
[2] 佚名.工业互联网安全技术的思考[ED/OL].https://www.sohu.com/a/378645337_120012740,2020-3-9.
[3] 佚名.2018年工业互联网构成要素及工业互联网体系架构分析[ED/OL].http://free.chinabaogao.com/it/201803/03532295r018.html,2018-3-5.
[4] 佚名.浅谈工业互联网安全技术保障体系[ED/OL].https://wenku.baidu.com/view/11b393bdacaad1f34693daef5ef7ba0d4a736de5.html?fr=search,2020-5-28.
作者简介
汪姗姗(1985-),女,湖南人;学历:本科,职称:高级工程师,现就职单位:慧镕电子系统工程股份有限公司,研究方向:数据安全。